使用 LDIF 在 Active Directory 中访问控制条目 (ACL/ACE)

使用 LDIF 在 Active Directory 中访问控制条目 (ACL/ACE)

我可以使用 LDIF 文件和 ldapadd 在 Active Directory 中添加 AccessControlEntry (ACL/ACE) 吗?使用 OpenLDAP / Oracle Directory 似乎可以。

我试过了:

## delegate Control / add ACI
dn: OU=nocluster2,OU=AWS-myaccount,OU=BigData,DC=BLA,DC=COMPANY,DC=COM
changetype: modify
add: aci
aci: (targetattr="*")(version 3.0; acl "give csmith full rights"; allow(all) userdn =  "ldap:///CN=noclusteradm2,OU=nocluster2,OU=AWS-myaccount,OU=BigData,DC=BLA,DC=COMPANY,DC=COM";)

当然我得到了错误

ldap_modify: No such attribute (16)
    additional info: 00000057: LdapErr: DSID-0C090F64, comment: Error in attribute conversion operation, data 0, v3839

我必须从 Linux/ansible 运行这些命令并避免 powershell/DACL.exe/windows 调用等。

相关内容